《个人信息保护法》2021年(nian)8月20日通过(guo)，自2021年(nian)11月1日起施(shi)行。很(hen)多企(qi)业所提(ti)供的(de)产品(pin)或(huo)者服务都与个(ge)人信息有关(guan)系，正确的(de)理解《个(ge)人信息保护法(fa)》对于企(qi)业的(de)经营来说非常重要。

第一章 总则

第一条 为了(le)保(bao)护个(ge)人信(xin)息权益，规范(fan)个(ge)人信(xin)息处理活动(dong)，促进个(ge)人信(xin)息合理利用，根(gen)据宪法，制定(ding)本法。

根据惯例，第一条(tiao)要(yao)列明立(li)法目(mu)的(de)。

《个人信(xin)息保(bao)护(hu)法(fa)》的(de)立法(fa)目(mu)的(de)有三：1、保护(hu)个(ge)(ge)人(ren)信(xin)息权(quan)益(yi)；2、规(gui)范个(ge)(ge)人(ren)信(xin)息处理活动；3、促进(jin)个(ge)(ge)人(ren)信(xin)息合理使用。在解释(shi)相关具体规(gui)定(ding)的(de)时候，应该(gai)兼顾(gu)这三(san)个(ge)(ge)立法目的(de)，不(bu)应该(gai)只考虑个(ge)(ge)人(ren)信(xin)息权(quan)益(yi)的(de)保护(hu)问题(ti)，也不(bu)应该(gai)只考虑促进(jin)个(ge)(ge)人(ren)信(xin)息合理利用的(de)问题(ti)。

第二条 自然(ran)人的个(ge)人信(xin)息受法律保(bao)护，任何组织(zhi)、个(ge)人不(bu)得侵害自然(ran)人的个(ge)人信(xin)息权(quan)益。

在我(wo)国《民法(fa)(fa)典》中首先规定了个人(ren)信(xin)(xin)息(xi)的(de)保(bao)护问题。《个人(ren)信(xin)(xin)息(xi)保(bao)护法(fa)(fa)》可以(yi)看做是(shi)对《民法(fa)(fa)典》个人(ren)信(xin)(xin)息(xi)保(bao)护条款的(de)细化，相比《民法(fa)(fa)典》属于(yu)特别法(fa)(fa)和一般法(fa)(fa)之间的(de)关系。

《民法(fa)典》第一(yi)百一(yi)十一(yi)条规(gui)定：自然人的(de)个人信(xin)息受法(fa)律保(bao)护。任何组织或(huo)者个人需要获取(qu)他人个人信(xin)息的(de)，应当依法(fa)取(qu)得(de)并确保(bao)信(xin)息安全，不得(de)非(fei)法(fa)收集、使用、加工、传输他人个人信(xin)息，不得(de)非(fei)法(fa)买卖、提供(gong)或(huo)者公(gong)开他人个人信(xin)息。

第三条 在中华(hua)人(ren)民(min)共和国境内(nei)处理自然人(ren)个(ge)人(ren)信息的活动，适用本(ben)法。

在中华人民共和国(guo)境(jing)外处理(li)中华人民共和国(guo)境(jing)内自(zi)然人个人信息的活动，有下(xia)列情形之一的，也(ye)适用本法：

（一）以向境(jing)内自然人提(ti)供(gong)产品或者服务为目的；

（二）分(fen)析、评估境(jing)内自然人的行为(wei)；

（三）法律、行政法规规定的其他情形。

该条是有关《个人信息保护(hu)法》适用范围的规定。

首先，在中(zhong)国(guo)境(jing)内处理自然(ran)人个人信息(xi)，自然(ran)应该适用《个人信息(xi)保护法》的规定。

其次(ci)，对(dui)于一些在中国境内处理自(zi)然人(ren)信息的(de)(de)活动，但是向境内自(zi)然人(ren)提(ti)供产(chan)品或(huo)者服务或(huo)者分析(xi)评(ping)估的(de)(de)个(ge)人(ren)信息属于中国境内自(zi)然人(ren)信息的(de)(de)，应(ying)遵守《个(ge)人(ren)信息保护法》的(de)(de)规定。

第四条 个(ge)人信息是(shi)以电(dian)子或者(zhe)其他(ta)方(fang)式记录的与已识别或者(zhe)可识别的自然(ran)人有关(guan)的各(ge)种信息，不包括(kuo)匿名化处理后的信息。

个人(ren)信(xin)息的处理包括个人(ren)信(xin)息的收集、存储、使用、加工、传输、提(ti)供、公(gong)开、删除等。

关于个人信息的定义，《民(min)法(fa)典(dian)》中也有(you)相关规定。相比《民(min)法(fa)典(dian)》中的规定，《个人信息保(bao)护(hu)法(fa)》特(te)别强(qiang)调了(le)“不(bu)包括匿(ni)名化(hua)处理后(hou)的(de)信(xin)息”。这(zhei)种(zhong)说法，为个人(ren)信(xin)息的(de)进一(yi)(yi)步(bu)商用打好了基础(chu)。对(dui)于(yu)一(yi)(yi)些个人(ren)信(xin)息来说，进行了匿(ni)名化(hua)的(de)“脱敏”之(zhi)后(hou)，可以得到进一(yi)(yi)步(bu)的(de)利用。

《民法典》第一千零三十四条　自然人(ren)(ren)的(de)个人(ren)(ren)信息(xi)受法律(lv)保护(hu)。

个人(ren)信(xin)息(xi)(xi)是以电(dian)子或者(zhe)(zhe)其他方式记录的(de)能够单独或者(zhe)(zhe)与其他信(xin)息(xi)(xi)结合(he)识(shi)别(bie)特定(ding)自(zi)然人(ren)的(de)各种信(xin)息(xi)(xi)，包括(kuo)自(zi)然人(ren)的(de)姓名(ming)、出生日期、身份证件号(hao)码(ma)、生物识(shi)别(bie)信(xin)息(xi)(xi)、住址、电(dian)话号(hao)码(ma)、电(dian)子邮箱(xiang)、健康(kang)信(xin)息(xi)(xi)、行踪信(xin)息(xi)(xi)等(deng)。

需(xu)要指(zhi)出的是，欧盟的《数据保护通用(yong)规定》（GDPR）中规定了数据(ju)的(de)控(kong)制者和处理者。我国的(de)《个人(ren)信(xin)息保护法》没有做这种分类，从本条规定来看(kan)，个人(ren)信(xin)息的(de)处理应该等(deng)于(yu)GDPR中的(de)“控(kong)制+处理”。

《民(min)法(fa)典》第一千零三十五条 个人(ren)(ren)信(xin)息的处理包(bao)括个人(ren)(ren)信(xin)息的收集、存储、使用、加工(gong)、传(chuan)输、提供(gong)、公开(kai)等。《个人(ren)(ren)信(xin)息保护(hu)法》增(zeng)加了一项(xiang)：“删除”。

第五条 处(chu)(chu)理(li)个(ge)人信(xin)(xin)息应当遵循合法、正当、必要(yao)和诚信(xin)(xin)原(yuan)则，不得(de)通过误导、欺(qi)诈、胁迫等方式处(chu)(chu)理(li)个(ge)人信(xin)(xin)息。

关(guan)于处理个人信(xin)(xin)息的(de)原则，之前(qian)在《全国(guo)人民代表(biao)大会常务委员(yuan)会关(guan)于加强网络信(xin)(xin)息保护(hu)的(de)决(jue)定》和《民法典》中均有(you)明确规定。

《全国人(ren)民(min)代(dai)表大会常务(wu)委员会关于(yu)加强网(wang)络(luo)信息保护的(de)(de)决定(ding)》二、网(wang)络(luo)服务(wu)提供(gong)者和其(qi)他企业事业单位在(zai)业务(wu)活动中收(shou)(shou)集、使(shi)用(yong)公民(min)个人(ren)电子信息，应当遵循合法(fa)、正当、必要的(de)(de)原(yuan)则，明示收(shou)(shou)集、使(shi)用(yong)信息的(de)(de)目的(de)(de)、方式(shi)和范围，并经被收(shou)(shou)集者同(tong)意，不得违反法(fa)律(lv)、法(fa)规(gui)的(de)(de)规(gui)定(ding)和双方的(de)(de)约定(ding)收(shou)(shou)集、使(shi)用(yong)信息。

《民法典(dian)》第一千零三十五条　处理(li)个人信(xin)息(xi)的(de)，应(ying)当遵(zun)循合法、正当、必(bi)要原则，不得过度(du)处理(li)，并(bing)符(fu)合下列条件(jian)：

（一(yi)）征得该自然(ran)人或者其监护人同意，但(dan)是法(fa)律、行政(zheng)法(fa)规另有规定的除外；

（二）公开处理信息的(de)规则；

（三）明示处理信息的目的、方式和范(fan)围；

（四）不违反法律(lv)、行政法规的(de)规定和双方(fang)的(de)约定。

第六条 处理(li)个人信息应当(dang)具有明确、合理(li)的(de)目(mu)的(de)，并(bing)应当(dang)与处理(li)目(mu)的(de)直接相关，采取对(dui)个人权益影响最小的(de)方(fang)式(shi)。

收集个(ge)人(ren)信息，应(ying)当限(xian)于实(shi)现处理目(mu)的的最小范(fan)围，不得过度收集个(ge)人(ren)信息。

在(zai)之前的(de)《网(wang)络安全(quan)法(fa)》等(deng)法(fa)律中(zhong)对(dui)此也(ye)有规定《网(wang)络安全(quan)法(fa)》中(zhong)规定不得收集与服务无(wu)关的(de)信(xin)(xin)息(xi)。这些(xie)都是有关收集信(xin)(xin)息(xi)范(fan)围的(de)要(yao)求，同时也(ye)是合法(fa)、正当(dang)、必要(yao)和诚信(xin)(xin)原则(ze)的(de)具体(ti)化。

《网(wang)络安全法》第四十一条 网(wang)络运营(ying)者不得收集与(yu)其(qi)提供的(de)服务无关的(de)个(ge)人(ren)信息(xi)，不得违反法律、行政法规(gui)的(de)规(gui)定(ding)和双(shuang)方的(de)约定(ding)收集、使用个(ge)人(ren)信息(xi)，并(bing)应当依照(zhao)法律、行政法规(gui)的(de)规(gui)定(ding)和与(yu)用户的(de)约定(ding)，处理其(qi)保存(cun)的(de)个(ge)人(ren)信息(xi)。

第七条 处(chu)理个人信息(xi)应当遵循公(gong)开、透(tou)明原(yuan)则，公(gong)开个人信息(xi)处(chu)理规则，明示处(chu)理的目的、方式和范围。

如前所述，《民法(fa)典》中(zhong)也要(yao)求(qiu)明(ming)示处(chu)理信(xin)息的(de)目的(de)、方式和范围(wei)，属于合法(fa)、正当、必要(yao)和诚信(xin)原则的(de)具体化(hua)。

在确(que)定是(shi)否进行了规则公开的时候，不应该(gai)仅仅以(yi)“勾(gou)选点击同意”为(wei)证据，还需要(yao)具体跟根据《个(ge)人信息保护法》的具体规定(ding)，尤(you)其(qi)是(shi)第十六(liu)条(tiao)、十七条(tiao)的规定(ding)来判断是(shi)否进行了“公开”和“明(ming)示”。